![烏雲[網際網路安全問題反饋平台]](/img/d/ae9/nBnauM3X4AjM1EzM1YDO0ITM4QTMwkzNxYDM0QTNwAzMwIzL2gzL2QzLt92YucmbvRWdo5Cd0FmL0E2LvoDc0RHa.jpg "烏雲[網際網路安全問題反饋平台]")
概述
烏雲網(WooYun)漏洞平台是一個位於廠商和安全研究者之間的安全問題反饋平台,在對安全問題進行反饋處理跟進的同時,為網際網路安全研究者提供一個公益、學習、交流和研究的平台。名字由來
其名字來源於目前網際網路上的“雲”,在這個不做“雲”不好意思和人家打招呼的時代,網路安全相關的,無論是技術還是思路都會有點黑色的感覺,所以自然出現了烏雲。信息安全
保護
我們對註冊的用戶做嚴格的校驗,所有安全信息在按照流程處理完成之前不會對外公開,廠商必須得到足夠的身份證明才能獲得相關的安全信息,包括但不限於採用線上證明、後台的審核以及線下的溝通等方式,而白帽子註冊必須通過Email的驗證,為了保證信息的高可靠性和價值,對於提交虛假漏洞信息的用戶在證實後,我們將根據情況扣除用戶的Rank甚至直接刪除用戶。對於在烏雲平台發布的漏洞,所有權歸提交者所有,白帽子需要保證研究漏洞的方法、方式、工具及手段的合法性,烏雲對此不承擔任何法律責任。烏雲及團隊儘量保證信息的可靠性,但是不絕對保證所有信息來源的可信,其中漏洞證明方法可能存在攻擊性,但是一切都是為了說明問題而存在,烏雲對此不負擔任何責任。
聲明
用戶在使用烏雲的相關服務時,必須遵守中華人民共和國相關法律法規的規定,用戶應同意將不會利用本平台進行任何違法或不正當的活動,包括但不限於下列行為∶一、上載、展示、張貼、傳播或以其它方式傳送含有下列內容之一的信息:
1)反對憲法所確定的基本原則的;
2)危害國家安全,泄露國家秘密,顛覆國家政權,破壞國家統一的;
3)損害國家榮譽和利益的;
4)煽動民族仇恨、民族歧視、破壞民族團結的;
5)破壞國家宗教政策,宣揚邪教和封建迷信的;
6)散布謠言,擾亂社會秩序,破壞社會穩定的;
7)散布淫穢、色情、賭博、暴力、兇殺、恐怖或者教唆犯罪的;
8)侮辱或者誹謗他人,侵害他人合法權利的;
9)含有虛假、有害、脅迫、侵害他人隱私、騷擾、侵害、中傷、粗俗、猥褻、或其它道德上令人反感的內容;
10)含有中國法律、法規、規章、條例以及任何具有法律效力之規範所限制或禁止的其它內容的;
二、不得為任何非法目的而使用烏雲及烏雲提供的相關信息:
1)不得利用烏雲網站進行任何可能對網際網路或移動網正常運轉造成不利影響的行為;
2)不得利用烏雲提供的網路服務上傳、展示或傳播任何虛假的、騷擾性的、中傷他人的、辱罵性的、恐嚇性的、庸俗淫穢的或其他任何非法的信息資料;
3)不得侵犯其他任何第三方的專利權、著作權、商標權、名譽權或其他任何合法權益;
4)不得利用烏雲網路服務系統進行任何不利於烏雲的行為;
三、不利用烏雲服務和網站相關信息從事以下活動:
1)未經允許,進入計算機信息網路或者使用計算機信息網路資源的;
2)未經允許,對計算機信息網路功能進行刪除、修改或者增加的;
3)未經允許,對進入計算機信息網路中存儲、處理或者傳輸的數據和應用程式進行刪除、修改或者增加的;
4)故意製作、傳播計算機病毒等破壞性程式的;
5)其他危害計算機信息網路安全的行為。
使命與靈魂
尊重
作為一個網際網路漏洞報告平台,烏雲最重要的使命就是尊重。我們觀察到目前眾多的安全研究者與廠商之間存在著天生的不平等,不尊重。對於漏洞發現者來說,由於缺乏廠商的聯繫方式,即使發現了漏洞也很難將信息傳遞給廠商,而廠商也根本無法顧及散落在網際網路各地的漏洞信息,最終導致一些漏洞被人遺忘,未得到修復而造成損失。另外一方面,一些廠商對漏洞研究者的報告也很不尊重,甚至是一種輕視的態度,在出現問題之後對問題不是迅速修復以確保網際網路用戶的安全而是通過其他手段嘗試掩蓋漏洞甚至是否認漏洞的存在,在這種不尊重的前提下,漏洞研究者就可能直接將漏洞公開,直接損害了廠商的利益。破壞和建設一樣,同樣作為一種技術的存在,我們嘗試喚回大家對技術的尊重,烏雲將跟蹤漏洞的報告情況,所有跟技術有關的細節都會對外公開,在這個平台里,漏洞研究者和廠商是平等的,烏云為平等而努力。進步
我們關注技術本身,相信Knowitthenhackit,只有對原理瞭然於心,才能做到真正的自由,只有突破更多的限制,才可能獲得真正意義上的技術進步,我們嘗試與加入WooYun的廠商及研究人員一起研究問題的最終根源,做出正確的評價並給出修復措施,最終一起進步。意義
我們堅信一切存在的東西都是有意義的,我們也相信烏雲能夠給研究人員和廠商帶來價值,這種價值將是烏雲存在的意義,研究人員可以通過烏雲發布自己的技術成果,展示自己的實力,廠商可以通過烏雲來發現自己存在的和可能存在的問題,我們甚至鼓勵廠商對漏洞研究者作出鼓勵或者直接招聘人才。安全團隊
烏雲有眾多的安全團隊在上面發布信息。
團隊名稱
Rank總值
PKAV技術宅交流小組
16429
網路尖刀(JDSec)
11518
90Sec
2950
NEURON
2612
freebuf
2495
Pax.Mac-Team
2231
天馬行空
1950
INSAFE
1777
Insight-Labs
1651
shell2us
1479
HelloWorld(烏雲分舵)
1184
80sec
1160
08安全團隊
903
暗影團隊
534
Vty 368
法律顧問
趙占領
部分主要漏洞
2014-03-24 tom線上某站敏感信息泄漏導致getshell2/8農村教...
2014-03-24tom線上某站任意檔案包含導致getshell1/6農村教...
2014-03-24電玩巴士論壇管理員賬戶泄露(大數據系列)1/3小懌
2014-03-24騰訊微雲存儲型xss漏洞1/8Pengs...
2014-03-24大數據進入江西電信天翼社區管理後台3/7joey
2014-03-24百度主站反射型XSS11/23mramyd...
2014-03-23太平洋網路網站群主站任意檔案下載漏洞2/10賣身養...
2014-03-24TOM信箱過濾不嚴導致存儲型xss(自動觸發)2/4MayIKi...
2014-03-23(大數據系列)我是如何控制高德論壇全論壇用戶的帖子2/14小龍
2014-03-23搜狐信箱存儲型XSS(危害放大技巧)6/22超威藍...
2014-03-24奇客星空運維不當導致敏感信息泄露2/4xlz0iz...
2014-03-23游久網英雄聯盟攻略管理員弱口令漏洞0/1lan3a
2014-03-23建站之星Sitestar前台Getshell一枚
WooYun關心哪些漏洞
我們關心那些可能對網際網路造成較大影響的漏洞,所以我們歡迎影響力較大的網際網路企業來註冊,對於漏洞的選擇也會較為嚴格,對於一般情況下漏洞級別較低而且影響很小的漏洞我們可能會徵求廠商的意見來選擇是否接受進入WooYun資料庫,這可以保證WooYun的質量和可信力。
另外,對於廠商有益的一些信息都可以作為漏洞提交到平台,譬如一些被證明的入侵事件和釣魚欺詐之類對業務有影響的信息,可以較好幫助企業迅速解決相關問題。
我們相信對於漏洞的最好證明方式就是最大程度的利用,我們鼓勵用截圖或者錄像的方式做出漏洞危害證明,這同樣是對技術的一個提高。
攜程漏洞曝光
烏雲事情的過程是,由於攜程用於處理用戶支付的安全支付伺服器接口存在調試功能,將用戶支付的記錄用文本保存了下來。同時因為保存支付日誌的伺服器未做校嚴格的基線安全配置,存在目錄遍歷漏洞,導致所有支付過程中的調試信息可被任意駭客讀取。所謂遍歷通常是指沿著某條搜尋路線,依次對樹中每個結點均做一次且僅做一次訪問。這一被歸類為“敏感信息泄露”的漏洞,被指可能導致大量攜程用戶持卡人姓名身份證、銀行卡號、卡CVV碼、6位卡Bin等信息外泄。
事情的解決辦法正如本文開頭所描述的那樣,當晚攜程很快就在其官方微博上回應稱公司相關部門已經在第一時間展開技術排查,並在訊息發布兩個小時內進行了漏洞彌補工作。
但是,人們關注的是,根據中國人民銀行發布的《銀行卡收單業務管理辦法》第28條規定,收單機構不得以任何方式存儲銀行卡磁軌信息或晶片信息、卡片驗證碼、卡片有效期、個人標識碼等敏感信息。並應採取有效措施防止特約商戶和外包服務機構存儲銀行卡敏感信息。
銀聯2008年出台的《銀聯卡收單機構賬戶信息安全管理標準》中也有稱,銀行卡受理終端僅限於保存當前交易批次內用於交易清分所必需的基本信息要素,並在該批次結束後及時予以清除;各類受理終端均不得存儲銀行卡磁軌信息、卡片驗證碼、個人標識代碼、卡片有效期等敏感賬戶信息。
“從目前披露的情況看,攜程方面可能存在一些瑕疵”,銀聯風險管理專家王宇對此聲稱,我們一直在積極推動相關機構嚴格落實相關要求,商戶及收單機構不能留存持卡人的敏感信息,同時也要採取多種措施提升交易環節的信息安全管理。但這並不是攜程在信息泄露上的全部危險。更大的漏洞,是流程上的不合理。
存儲信息資格
“2010年的時候,這個方案已經在用了。”一位支付行業高管透露。如果只有信用卡卡號和有效期就刷卡成功,那么這個漏洞太大了。“理論上來說第三方支付公司從銀行拿接口必須提供實名校驗,這就意味著必須提供個人的姓名、身份證號、卡號、CVV有效期才能完成這筆扣費。
其實攜程無權留取用戶的卡等信息,因為這必須是銀行或者是第三方有資質的機構。但攜程是在走擦邊球,一直在做這種留存。據我所知,如果你不給他提供這種接口,攜程不會跟你合作。而且合作條件很苛刻。”改人士透露。
從烏雲上流傳出來的內容看,攜程是對用戶的銀行卡、身份證等敏感信息做了留存的。
更重要的問題是,這顯然已經不是個新問題了,攜程卻一直沒有解決。
